Business Logic Errors

Manque de validation lors du changement d'email

Description

La vulnérabilité a été découverte sur l'application web d'un fournisseur de technologies liées au contrôle d'identité par IA. Cette application permettait de créer des comptes utilisateurs à partir d'emails professionnels, une fois connecté, l'utilisateur avait accès à un dashboard avec plusieurs fonctionnalités permettant notamment la création de templates de validation d'identité etc.

Dans ce dashboard, l'utilisateur a la possibilité d'inviter des personnes en leur envoyant un lien par email et par le même biais de changer les emails de ces utilisateurs dont celui du propriétaire de l'application (donc soi-même).

La fonctionnalité permettant cela souffrait alors d'un manque de vérification permettant de remplacer son email par n'importe quel email arbitraire sans aucune validation et aucune possibilité de réfuter ce changement depuis l'email reçu par la victime.

Exploitation

• Dans un premier temps j'ai essayé de créer un compte avec un email privé via l'endpoint d'enregistrement.

• Cependant la politique en place m'en empêchait.

• J'ai alors créé un compte avec un email professionnel comme demandé par la politique.

• Je me suis rendu sur la page de gestion des utilisateurs du dashboard.

• Puis j'ai simplement modifié mon email par un email arbitraire hors de mon contrôle.

• Une fois cela fait, il m'était alors possible de me connecter avec ce nouvel email et mon mot de passe sans aucune validation de la part du serveur et l'ancien mail professionnel n'était plus actif malgrés qu'i était encore affiché sur le dashbard.

Risques

Permettre aux utilisateurs de changer leur e-mail enregistré d’un e-mail professionnel à un e-mail privé après l’inscription peut introduire des risques de sécurité et de business. Voici quelques impacts potentiels :

Usurpation d’identité et ingénierie sociale :

Un utilisateur malveillant peut s’inscrire avec une adresse e-mail professionnelle, accéder à certains privilèges ou informations, puis modifier le courrier électronique en un courrier privé. Cela pourrait leur permettre d’usurper l’identité d’un utilisateur légitime et de mener des activités malveillantes.

Contournement des mesures de sécurité :

Si l’entreprise s’appuie sur la vérification des adresses e-mail professionnelles pour assurer un certain niveau de confiance ou de sécurité, permettre aux utilisateurs de passer à des e-mails privés pourrait compromettre ces mesures.

Intégrité des processus opérationnels :

Si la logique métier suppose un certain niveau de confiance ou de validation associé aux adresses e-mail professionnelles, permettre aux utilisateurs de passer à des e-mails privés pourrait perturber les processus métier prévus et compromettre l’intégrité de ces processus.

Conformité réglementaire :

Selon l’industrie, il peut y avoir des règlements ou des normes en place qui exigent certaines pratiques de sécurité. Permettre aux utilisateurs de passer librement des courriels professionnels aux courriels privés peut enfreindre ces règlements.

Fuite de données :

Si le courrier électronique professionnel a été utilisé pour des communications commerciales ou l’accès à des informations sensibles, le fait de le remplacer par un courrier électronique privé peut entraîner une fuite involontaire de données commerciales sensibles vers des comptes de messagerie personnels.

Activités frauduleuses :

Les utilisateurs peuvent s’inscrire avec des e-mails professionnels pour obtenir certains avantages ou accès, puis passer à des e-mails privés pour échapper au suivi ou à la détection. Cela pourrait être exploité pour des activités frauduleuses.